Foro de elhacker.net

Muy buenas a todo el mundo que quiera leer.

Hace semanas, unas cuantas.. descubrí una vulnerabilidad XSS en una página importante (de una multinacional, todos hemos oido hablar de ella, prefiero no dar nombres), pero no me quedé ahi.. seguí investigando. Descubrí que tiene un sistema de logue totalmente inseguro, no solo eso, si no que es explotable y demás.

He contactado con ello, me dijeron que lo arreglarian. No han hecho nada.
También le envié un mensaje al GDT (grupo de delitos telemáticos) y tuve el placer de hablar con Juan Salóm (https://encrypted.google.com/search?hl=es&source=hp&biw=1366&bih=575&q=juan+salom&aq=f&aqi=g10&aql=&oq=) por teléfono durante un ratejo, comentándole este tema, diciéndole que empresa era, y donde estaba el fallo, incluso posteriormente les mandé otro mensaje detallando con total exactitud todo. Siguen sin haber arreglado nada.
Tambien incluso twitteé un poco con Chema Alonso y el twitter de SecByDefault (de ahi me dieron la idea de denunciar).

Sin duda, me gustaria publicar esta vulnerabilidad, que más que vulnerabilidad, lo convertiria como en un análisis de seguridad hacia esa página, ya que tendria mucho de qué hablar.

El caso es que tengo un poco de miedo: si contacté con el GDT es porque creo que, como dije anteriormente, hablo de una multinacional: juega con datos privados importantes básicamente.

Sabeis de algún caso similar que haya tenido repercusiones negativas? Creeis que podria pasarme algo? Que hariais vosotros?

La verdad que lo fácil es decir que no diga nada, pero no he estado parando de darle vueltas durante toodas estas semanas, y además de por el simple hecho de ser algo importante.. estoy muy a favor de reportar una vulnerabilidad y posteriormente publicarla. El caso es que es bastante explotable (a mi parecer) y no sé que repercusiones podria traer.

Vamos a ver, yo, como MUCHOS de este foro hemos encontrado fallos importantes.

Yo por ejemplo descubrí un fallo en el cual podía borrar cualquier cuenta de Tuenti (sin XSS ni mierdas) y funcionó durante un año...

Luego también encontré fallos graves en una importante empresa de telecomunicaciones y tampoco dije nada...

Y luego encontré fallos en la SGAE, PSOE, E2000, etc... y por joder un rato lo publique...

Mi política es la siguiente: Si puede joder a personas inocentes que no tienen nada que ver con esto, no lo publico.

La cosa es que me gustaria publicarlo una vez esté arreglado.. pero no lo arreglan, y quitando todo lo demás, me gustaria que lo arreglaran, ya que pone en peligro a miles de personas, por ello que contacté incluso con el GDT.

Me gustaria seguir intentando insistir en que lo arreglen, sin embargo pasan de mi culo, o eso parece. Incluso podria intentar hablar con el jefe de algun jefe de algun jefe, intentando llegar alto para que me oigan, o demostrar de alguna manera que es algo superserio.

=S

Contacta con un periodista serio. No lo publiques en foros. Pasalo a gente de confianza por privado.
 
Saludos. Armando.

Mi pregunta es .. ¿Que ganarias vos publicando eso?
Osea si encontras una vulnerabiliad importante tenes dos caminos..
1.- Mandarte cagadas, y sacar provecho...
2.- Comunicarselos a los Sysadmin de dicho sistema.. y/o ayudar a corregir el problema..

A mi se me da que tu mensaje va por el lado de ... "Encontre una super vulnerabilidad soy un superkaker blablabla.."..

Si hay datos delicados de terceros en juego, te recomendaria que no lo publiques porque solo estarias jodiendo a la gente, solo por recibir un poco de reconocimiento por internet..

no sé lo que haría, pero ni caso a lo que ha dicho Armando xD

Hay mucha gente que te puede aconsejar, ya has hablado con varios, pues ahora decide tu en función de lo que te hayan dicho y de los posibles riesgos que quieras asumir.

WAT?

No sé si me has leido lo que he puesto, pero repito: he contactado con el jefe del GDT y con la compañia, y pasan de mi. No me creo "superkaker" ni nada, simplemente estoy diciendo que encontré una vulnerabilidad (un conjunto) muy grave y he pedido consejo .__.

uuacks xd es una opinion lo k yo haría pero desde luego preguntaría primero como está haciendo lipman... gracias brujo si lo dices tu confio en tu experiencia pero mmm no aportas algo más...???

Ahi ahi, poniendo en compromiso a la gente xDDD

Oh crea un blog anonimo y publicalo ahi con otro nombre ?=D x)..

pero obviamente ya estuvistes hablando con 1/2 españa asi que sabran que fuistes tu, hablar con los administradores de los sitios es muy molesto, ellos te ignoran completamente pensando que ellos saben mas que nadie.
Lo mejor seria hablar con una persona responsable del lugar (con mucho cuidado de lo que dices, pensaran que es una amenaza o extorsión), o enviar la noticia a alguna revista de informatica.

Ve con cuidado, porque aunque no hayas cometido ningún "delíto" la empresa te podría denunciar sin problemas, aquí en España el tema de pentester es algo complicado ya que urgaste sin un contrato o autorización.

Al no tener autorización para ello puedes meterte en un lío. Almenos hicíste bien de denunciarlo al GDT pero eso no quita que la empresa pueda denunciar.

No entiendo por que a la DGT...

desde donde lo veo, o podrían demandarte por publicar el fallo incluso con intención de explicar y bla bla bla, también me surge la curiosidad de que si por casualidad ellos están esperando que lo hagas quizás digo porque no soy un entendido en leyes, si prueban que les hiciste un daño muy grande podrían pedir una remuneración en dinero que saldría de tu bolsillo, además de que te acusarían de delito informático ya que investigaste el fallo, desde donde lo veo el querer ayudar hoy en día no es mas que una *****(perdonen la expresión) incluso con la familia, lo que importa hoy en día es preocuparse de uno mismo y de tus mas cercanos, suena feo pero a veces por querer ayudar la he pagado caro... saludos

xDD a la DGT no, al GDT (grupo de delitos telemáticos)


Hmm, no creo que sea eso, porque realmente daño no hay ninguno, y a pesar de que puedas conseguir total acceso, no hablo de robar una base de datos ni nada por el estilo.

Muchas gracias chicos, da que pensar..

Veo que mi respuesta tal como a entrado se ha ido para arriba, aquí te pongo la pregunta hecha a la GDT y contestada por ellos:


Directo y calentito desde DGT GDT, ya tienes respuesta a tu pregunta inicial.

Full Disclousure!

Podes publicar la vuln en secunia o algun sistema similar....ademas no se que te preocupa?

Podrias usarla para atacar la web en cuestion, es lo que yo haria. na vez descubri una RFI en site de homebancking del banco de aca.

Lo que hice fue alo parecido al carding xD. Ademas yo tenia una base de datos de unas 3000 mil perosnas que usaban dicho sistema (la misma la consegui gracias a mi anteior empleo). Asi que con toda la montada de un 'scam' y un poco de ingenieria social logre hacerme con unas 200 tarjetas de creditos (datos y clave de homebanking). Pero me detuve ahi, si le robaria al banco peor no a otross pobres laburantes como yo.

A lo que voy es que a veces se encuentran vulnerabilidades enormes en sitios inesperados.

Lo que si, no sean lammers. Si van a compometer un sistema que sea solo por curiosidd/diversion, nunca por maldad, venganza o intereses personales.

Saludos

3 lineas mas abajo...


otras pocas mas abajo...

 ;-) ;-) ;-) ;-) ;-) ;-) ;-) ;-)

Por cierto, en unos posts anteriores he puesto la pregunta hecha y contestada directamente a delítos telemáticos. Con eso se resuelve la duda.

No creo que lo que hice me haga lammer, todavia no concreto dicha placa usando las tarjetas de credito en paypal xDD

Por cierto...  http://goo.gl/TG7kl (http://goo.gl/TG7kl)    :-*

Saludos

No sabía lo de DGT (sorry GDT, estoy acostumbrado a decir GC).

Gracias por la info :-P

Atacar una web por diversión y contarlo es de lammers. Black hat serías si no dijeras nada, contarlo ta hace lammer, demuestra que necesitas contarlo, mostrar hasta donde has llegado.

Yo iría a la Agencia de protección de datos o hablaría de nuevo con GDT para que lo hicieran ellos.

Al final, ayer mismo lo hice.

http://delanover.com/2011/12/08/descuido-en-vodafone-es-permite-acceder-a-cualquier-cuenta-de-usuario-y-obtener-datos-de-cualquier-telefono/

lipman me gustó mucho, encontré ese fallo en varias compañías telefónicas y con la clave de seguridad (no pin) de un banco.

Muchas gracias por el comentario =)

Dos palabras: Viva España  :P

Ya te digo.

Una vez encontré serias vulnerabilidades en una empresa española (poco conocida) y cuando se lo comenté me contestaron 'Imposible, tenemos los mejores informáticos del mundo'.

Aunque incluso las grandes también tienen (aunque tardan poco en solucionarlo), ayer mismo encontré un XSS en Oracle.

lol, eso es para decirle "ole tus cojones".

Yo recuerdo que reporté una, y me contestaron en plan "ayy que genial que haya gente que reporte vulnerabilidades así, de forma voluntaria bla bla bla" totalmente happy, que me hizo hasta alegrarme xD y luego me di cuenta de que no los habian solucionado.

Pero bueno, este es el mundo en el que vivimos, y al final el post ha tenido toda la trascendencia que he querido que tenga (no mucha, pero tampoco nula). Ahora quedará en el aire, y yo "estaré libre"... tenia ganas de publicarlo.

Un saludo

A mi me gustaría encontrar también vulnerabilidades en alguna pagina web importante algún día y llamar diciendo: tienen un fallo aqui , aqui y aqui. No sé... me haría sentirme importante  :rolleyes:

 :xD :xD :xD

Pues ya has visto para lo que sirve, para nada. Bueno, no, algún dolor de cabeza te puede dar.

Aunque no sirva para mucho, al menos te quedará la satisfacción personal. Aunque supongo que a partir de la 2 vez de sacar vulnerabilidades eso ya va perdiendo valor.

XD muy bueno, yo la última vez que reporte un fallo les dije: Pasado mañana las 12 hora chilena les destruyo la página.

El mensaje acompañaba las vulnerabilidades encontradas y no pude juankearlos u.u

pienso que skapunky tiene toda la razon. es como si te metieras a una casa sin autorizacion, aunque no robaras nada estarias cometiendo un delito.
si lo empiesas a publicar los vas aperjudicar mas, pues le vas a hacer publicidad a su vulnerabilidad.
si ya les avisate a ellos o alas autoridades  pues ya. lo demas no es tu cuento, ellos son los que se arriesgan o pierden tu ya nada.
p.d.
ja yo si tengom muchas vulnerabilidades cuando hice este comentario solo habia leido la hoja 1.
saludos

Dentro de lo que cabe si lo denuncias la DGT ellos 'te cubren', es decir la empresa nunca pregunta quien ha denunciado.

Y es que sino no hay otra alternativa mas que arriesgarse.
Lo ideal sería que la empresa "te crea", pero ya sabemos como es la mayoría de la gente en este mundo ^^ y van a tratar de meterte el dedo lo más dolorosamente posible, simplemente por el hecho de hacerles un favor y hacerles ver un error!
Así pasa generalmente, uno trata de ser buena gente, extiende la mano y te agarran el codo... muy pesimista lo mío, pero no muy lejos de la realidad :P

vendeles el parche ps!
"no more free bugs"

Algo que no dije por aquí es que lo que he publicado es la versión corta... la versión extendida (full disclosure) que queria publicar, sigue sin estarlo.

No deberías hacerla pública hasta que se hallan arreglado, pues pones en juego la privacidad de los clientes de la empresa.

Mas bien, tienes que llegar a conseguir hablar con la persona indicada en la empresa que ponga manos en el asunto, de lo contrario revelales algunos datos de los cuales tu puedes tener acceso a ver si así se ponen manos a la obra a trabajar.

Y explicales con quienes has hablado de la empresa, y quienes no te han hecho caso.

Recuerda que si la empresa es grande te podría meter a juicio si haces público los datos de los usuarios, así que hay que ir con cuidado.

Saludos!

Verdad, puedes conversar con los chicos expertos en seguridad: hispasec.com

Ellos te ayudarán, y hasta publicarían un artículo al respecto, de eso si estoy seguro.